Microsoft potvrdzuje aktívne zneužívanie zraniteľnosti Windows Shell, čo vyvoláva obavy z nedostatočných záplat a útokov podporovaných štátom
V vývoji, ktorý pravdepodobne zvýši obavy v oblasti kybernetickej bezpečnosti, spoločnosť Microsoft potvrdila, že nedávno zverejnená zraniteľnosť ovplyvňujúca operačný systém Windows bola aktívne zneužívaná v reálnych útokoch, čo vyvoláva opätovné preverovanie účinnosti záplat a schopností útočníkov.
Zraniteľnosť, evidovaná ako CVE-2026-32202, zasahuje komponent Windows Shell a bola pôvodne opravená začiatkom tohto mesiaca v rámci pravidelných bezpečnostných aktualizácií Patch Tuesday. V aktualizovanom odporúčaní vydanom 27. apríla však Microsoft priznal, že zraniteľnosť už bola zneužívaná „vo voľnej prírode“ – aktualizácia, ktorá výrazne zvyšuje jej rizikový profil.
Tichá revízia s vážnymi dôsledkami
Aktualizované odporúčania Microsoftu opravili predchádzajúce nepresnosti v klasifikácii zneužiteľnosti, CVSS hodnotení a stave exploitácie. Hoci má zraniteľnosť relatívne nízke CVSS skóre 4,3, čo zvyčajne naznačuje obmedzenú závažnosť, jej potvrdené zneužívanie v aktívnych útokoch naznačuje komplexnejšiu a potenciálne nebezpečnejšiu realitu.
Podľa spoločnosti ide o „zlyhanie ochranného mechanizmu“, ktoré umožňuje spoofingové útoky cez sieť. Na zneužitie je potrebná interakcia používateľa – konkrétne presvedčenie obete, aby otvorila škodlivý súbor. Po spustení môže útočník získať prístup k častiam citlivých informácií, nie však meniť dáta ani narušiť dostupnosť systému.
Takéto vlastnosti robia zraniteľnosti atraktívne pre cielené kampane, kde je prioritou nenápadnosť a perzistencia namiesto priameho narušenia systému.
Prepojenie na staršie závažné zraniteľnosti
Situáciu ďalej komplikuje fakt, že CVE-2026-32202 bola prepojená na skorší balík závažných zraniteľností opravených vo februári – konkrétne CVE-2026-21510 a CVE-2026-21513, ktoré majú CVSS skóre až 8,8.
Tieto zraniteľnosti boli údajne zneužívané v koordinovaných útokoch pripisovaných skupine APT28 (známej aj ako Fancy Bear alebo Forest Blizzard), ktorá je dlhodobo spájaná s kyberšpionážou zameranou na vlády, armádu a kritickú infraštruktúru.
Výskumníci, vrátane Maora Dahana z Akamai, uvádzajú, že CVE-2026-32202 predstavuje neúplnú opravu CVE-2026-21510. Hoci pôvodná záplata eliminovala riziko vzdialeného spustenia kódu, nezabezpečila všetky základné mechanizmy, ktoré je možné stále zneužiť.
Reťazec exploitov a metodika útoku
Útočná kampaň využívala škodlivé Windows Shortcut (LNK) súbory, ktoré zneužívali zraniteľnosti v sekvencii. Po otvorení takéhoto súboru systém využije spracovanie ciest vo Windows Shell na nadviazanie spojenia so serverom kontrolovaným útočníkom.
Kľúčovým problémom je spôsob, akým Windows spracováva UNC cesty. Ak LNK súbor odkazuje na vzdialený zdroj (napr. \\attacker.com\share\payload.cpl), systém sa automaticky pokúsi nadviazať SMB spojenie.
To spustí NTLM autentizačný proces, počas ktorého môže systém neúmyselne odoslať hash prihlasovacích údajov (Net-NTLMv2) útočníkovi. Tieto údaje môžu byť následne zneužité v ďalších útokoch, napríklad relay útokoch alebo offline lámaní hesiel.
Za určitých podmienok môže tento proces prebehnúť bez vedomia používateľa – čo z neho robí takmer „zero-click“ vektor krádeže prihlasovacích údajov.
Geografické zameranie a kontext
Zneužívanie súvisiacich zraniteľností bolo spojené s útokmi na subjekty na Ukrajine a v Európskej únii koncom roka 2025, čo zapadá do širších geopolitických vzorcov kyberšpionáže pripisovanej skupine APT28.
Aj zraniteľnosti s obmedzeným dopadom môžu zohrávať kľúčovú úlohu v komplexných útokoch – napríklad získavanie prihlasovacích údajov je často prvým krokom k hlbšiemu kompromitovaniu siete.
Obmedzenia záplat a pretrvávajúce riziko
Februárová záplata zaviedla ochrany ako SmartScreen kontrolu stiahnutých CPL súborov, no úplne nezabránila automatickým autentizačným pokusom pri spracovaní ciest. Tento nedostatok umožnil útočníkom pokračovať v zneužívaní mechanizmu.
Nová zraniteľnosť čiastočne tento problém rieši, no oneskorené priznanie vyvoláva otázky, či je problém skutočne úplne odstránený a či neexistujú ďalšie útokové vektory.
Širšie dôsledky pre kybernetickú bezpečnosť
Incident poukazuje na opakujúci sa problém: náročnosť úplného odstránenia komplexných zraniteľností v prepojených systémoch. Čiastočné opravy môžu zanechať otvorené cesty pre útočníkov.
Zároveň ukazuje rastúcu sofistikovanosť útočníkov – najmä štátom podporovaných skupín – pri reťazení viacerých zraniteľností.
Organizáciám sa odporúča:
- okamžite aplikovať všetky dostupné záplaty
- monitorovať sieťovú aktivitu (najmä SMB spojenia)
- zvážiť dodatočné opatrenia proti úniku prihlasovacích údajov
Prípad CVE-2026-32202 pripomína, že aj zdanlivo menej závažné zraniteľnosti môžu mať veľký dopad, ak sú zneužité v správnom kontexte – a že transparentnosť a rýchle aktualizácie sú kľúčové v boji proti moderným kybernetickým hrozbám.
Viac informácií tu:
https://www.linkedin.com/comm/pulse/warning-windows-shell-flaw-cve-2026-32202-actively-em86f
https://thehackernews.com/2026/04/microsoft-confirms-active-exploitation.html